En el trabajo, usamos un sistema de autenticación llamado Swivel Secure sin implementación, específicamente cuando conectamos dispositivos de nuestros clientes, tales como: enrutadores, conmutadores, cortafuegos, etc. Debemos proporcionar un OTC (para 2FA, por supuesto)
Por ejemplo, si me conecto a un conmutador debo proporcionar: nombre de usuario, contraseña & una OTC para obtener una OTC debemos visitar un enlace que genere una imagen (vea el siguiente ejemplo)
Un enlace normalmente se ve de la siguiente manera: enlace
Sinoestáfamiliarizadoconunaimagen,esencialmentecadausuariotieneunpin(quesepuedecambiar),losnúmerosprincipalescorrespondenalosnúmerosquesepuedenusarenunpindeusuarioyamp;Losnúmerosdeabajosonlosnúmerosrequeridosparaunaautenticaciónexitosa.
Porejemplo:simipines1234usandolaimagenarribademiOTCparaunaautenticaciónexitosasería3087.
EnSwivelhayunaopciónquetepermiteconfigurarobtenerSCImagecomounasimplecadenareemplazandoSCIMageconSCText.LepreguntéaundesarrolladordeSwivelsobreestoydijo:"está deshabilitado por defecto porque es intrínsecamente inseguro". Encontré que esta declaración era muy vaga y desafortunadamente él nunca respondió a mi solicitud de expansión.
¿Cómo es más inseguro generar la cadena de seguridad como texto? Me doy cuenta de que es más legible en términos de introducirlo en la computadora. Por ejemplo, podría raspar el HTML para obtener la cadena de seguridad, mientras que con la imagen tendría que usar algún tipo de software / biblioteca OCR para obtener los caracteres de la imagen. lo que puede ser difícil, especialmente si la imagen está muy revuelta.
Entonces, ¿cómo es menos seguro generar esta cadena de seguridad como texto? Ni siquiera es como si pudieras iterar sobre todas las combinaciones porque hay un mecanismo de bloqueo en muchos reintentos, por lo que no puedes obtener el PIN de alguien sin adivinarlo esencialmente, etc.
Si alguien pudiera aclararme esto, sería genial. Supongo que me estoy perdiendo algo y simplemente no estoy pensando correctamente.
EDIT Después de una discusión que tuve con DMB sobre la base de que uno de sus comentarios no estaba muy claro. Hemos llegado a la conclusión de que la única diferencia REAL aquí es el tiempo que pasaría un atacante.
Su punto fue que les lleva mucho menos tiempo obtener la etiqueta de párrafo del HTML que usar el software OCR para obtener los dígitos requeridos de la imagen, con lo que estoy de acuerdo (de ahí que mencioné esto en mi post)
Si alguien más tiene algo más que agregar, hágalo, de lo contrario, escribiré una respuesta y la marcaré como contestada. Me interesaría saber qué OTROS riesgos habría al obtener la cadena de seguridad como TEXTO en lugar de como una IMAGEN, gracias.